3环获取0环模块加载基址

最新推荐文章于 2024-09-30 13:31:42 发布
最新推荐文章于 2024-09-30 13:31:42 发布
阅读量281 收藏
点赞数 2
分类专栏: 备忘 
static ULONG_PTR get_mod_base(char *name)
{
	int i;
	RTL_PROCESS_MODULES *m;
	DWORD got = 0;

	NTSTATUS ret = NtQuerySystemInformation(
		SystemModuleInformation, NULL, 0, &got);
	if (ret != STATUS_INFO_LENGTH_MISMATCH)
		return 0;

	m = malloc(got);
	if (!NT_SUCCESS(NtQuerySystemInformation(SystemModuleInformation, m, got, &got))) {
		free(m);
		return 0;
	}

	for (i = 0; i < m->NumberOfModules; i++) {
		RTL_PROCESS_MODULE_INFORMATION *p = m->Modules + i;
		if (!stricmp(name, (char*)p->FullPathName + p->OffsetToFileName)) {
			ULONG_PTR ret = (ULONG_PTR)p->ImageBase;
			free(m);
			return ret;
		}
	}
	free(m);
	return 0;
}
Rust OS Dev消息队列和动态内存分配、微内核操作系统开发等方面的最佳实践
AI天才研究院
07-29 1438
自从20年前开源界流行了Linux操作系统后,有很多企业也纷纷转向Linux操作系统,原因之一就是开源社区的强大生态,尤其是Rust语言的发明和广泛应用。然而,面对Rust语言带来的高效率和安全性,一些公司却觉得这种高性能和安全性无法完全体现出来,并且也因此想开发一款基于Rust语言和 Linux 内核 的操作系统。此时,基于微内核模式的操作系统诞生了,可以满足更多复杂场景下的系统需求。消息队列和动态内存分配、微内核操作系统等方面就是微内核操作系统开发最重要的部分。本文将主要讨论这些方面的最佳实践。
0权限高还是3_03
weixin_26722031的博客
07-29 1330
0权限高还是3Most likely, you’re aware of the hardware “protection rings” in Intel Architecture processors — the familiar “Ring 0” for the kernel through “Ring 3” for userland. But, have you ever heard of...
windows 显示程序被加载地址的三种方法
god_wen的博客
07-05 722
#include<iostream> #include<windows.h> #include<tchar.h> //因为这个变量是启动函数 调用入口函数时传递的。所以我们在这里说明一下在别的地方已经定义了 EXTERN_C IMAGE_DOS_HEADER __ImageBase;void dumpModule() { //GetModuleHandle参数如果为nullptr,就返回本进程的内存
6.1、3程序和0驱动的通信
Windows内核学习笔记
07-10 462
驱动设备对象结构体 //Defined in ntddk.h // STRUCT PDEVICE_OBJECT typedef struct DECLSPEC_ALIGN(MEMORY_ALLOCATION_ALIGNMENT) _DEVICE_OBJECT { CSHORT Type; USHORT Size; LONG ReferenceCount; //驱动设备对象被引用了多少次 st...
ZwQuerySystemInformation函数查询SystemModuleInformation
gold0523的专栏
04-13 6439
<br />使用ZwQuerySystemInformation函数查询SystemModuleInformation <br /><br />在看到两种用法 <br />第一种: <br />ZwQuerySystemInformation(SystemModuleInformation,&n,0,&n); <br />PULONG p=new ULONG[n]; <br /><br /><br />ZwQuerySystemInformation(SystemModuleInformation,p,n*
驱动开发:判断自身是否加载成功
CSDN
10-08 2万+
在驱动开发中我们有时需要得到驱动自身是否被加载成功的状态,这个功能看似没啥用实际上在某些特殊场景中还是需要的,如下代码实现了判断当前驱动是否加载成功,如果加载成功, 则输出该驱动的详细路径信息。这是一个微软未公开的函数,也没有文档化,不过我们仍然可以通过动态指针的方式调用到它,该函数可以查询到很多系统信息状态,首先需要定义一个指针。该结构同样是一个未文档化的结构体,本此代码中需要用到的枚举类型是。是核心函数,我们看下该函数具体是如何实现的,原理很简单。其他类型也放这里后期做参考用。该功能实现的核心函数是。
易语言源码易语言取模块基址源码.rar
02-18
每个模块在内存中都有一个基地址,它是模块加载时的起始地址。在易语言中,我们可以使用内建的API函数来获取模块基址。 1. **API调用**:易语言支持调用Windows API,这通常是通过`系统.调用`命令完成的。例如,...
android 卸载已加载的so,技术分享 - 基于PsSetLoadImageNotifyRoutine实现监控模块加载并卸载已加载模块...
weixin_30387635的博客
05-27 683
背景对于内核层实现监控模块加载,包括加载DLL模块、内核模块等。你也许会想到 HOOK 各种内核函数来实现。确定,在内核层中的 HOOK 已经给人留下太多深刻的印象了,有 SSDT HOOK、Inline HOOK、IRP HOOK、过滤驱动等等。但是,Windows 其实给我们提供现成的内核函数接口,方便我们在内核下监控用户层上模块加载的情况,即 PsSetLoadImageNotifyRou...
利用FS寄存器获取KERNEL32.DLL基址算法的证明
sea
01-09 5111
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS段寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针
8.程序手动实现加载、运行、停止、卸载驱动
Mikasys的博客
10-30 1350
0x7.程序实现(ring3)加载、运行、停止、卸载驱动 一、手动加载驱动步骤 用GetFullPathNameA获取驱动的完整路径 用OpenSCManager打开服务控制管理器 用CreateServiceA创建服务 如果服务创建已存在,直接用OpenServiceA打开服务,否则用StartServiceA开启服务 二、卸载 用OpenSCManager打开服务控制管理器 用OpenServiceA打开服务 用ControlService停止驱动服务 三、代码实现 主要功能:用户输入PID,r
System_mudule_information
whispermemory的专栏
09-19 988
typedef struct _SYSTEM_MODULE_INFORMATION { ULONG ModulesCount; SYSTEM_MODULE Modules[0]; } SYSTEM_MODU
枚举进程中的模块
Masimaro的专栏
05-16 4092
在Windows中枚举进程中的模块主要是其中加载的dll,在VC上主要有2种方式,一种是解析PE文件中导入表,从导入表中获取它将要静态加载的dll,一种是利用查询进程地址空间中的模块,根据模块的句柄来得到对应的dll,最后再补充一种利用Windows中的NATIVE API获取进程内核空间中的模块,下面根据给出这些方式的具体的代码片段:解析PE文件来获取其中的dll在之前介绍PE文件时说过PE文件中
RTL_PROCESS_MODULE_INFORMATION
weixin_30555515的博客
06-11 278
typedef struct _RTL_PROCESS_MODULE_INFORMATION { HANDLE Section; // Not filled in PVOID MappedBase; PVOID ImageBase; ULONG ImageSize; ULONG Flags; USHORT LoadOrderInd...
ZwQuerySystemInformation枚举模块问题分析
最新发布
sunjiaoya的博客
09-30 837
ZwQuerySystemInformation通过调用号0xb可以获取到内核层模块的信息,通过windbg和IDA追踪ZwQuerySystemInformation的函数调用链,发现在内核模块里调用 ZwQuerySystemInformation() 函数,将通过系统调用转而调用 NtQuerySystemInformation() 函数。NtQuerySystemInformation() 调用内部的 ExpQueryModuleInformation() 函数来完成相应功能。
使用NtQuerySystemInformation遍历进程信息[详细篇]
weixin_42270114的博客
07-15 6908
使用NtQuerySystemInformation遍历进程信息[详细篇]
枚举系统模块信息
125096
01-22 2703
#include #include #include typedef struct _SYSTEM_MODULE_INFORMATION { ULONG Reserved[2]; PVOID Base; ULONG Size; ULONG Flags; USHORT Index; USHORT Unknown; USHORT LoadCount; USHORT Modul
函数ZwQuerySystemInformation小结
weixin_33906657的博客
08-07 354
函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTSTATUS WI...
2.API的调用过程(30
My classmates
10-16 1633
_KUSER_SHARED_DATA /*这是一个结构体,翻译过来就是: Kernel与User分享的一块数据。 03共享的一块内存 */ 在User层和Kernel层分别定义了一个KUSER SHARED DATA结构区域,用于User层和Kernel层共享某些数据 它们使用固定的地址值映射,_KUSER_SHARED_DATA结构区域在User和 Kernel层地址分别为: User...
NtQuerySystemInformation参数详解
热门推荐
oldmtn的专栏
02-14 2万+
NtQuerySystemInformation函数,其中SystemBasicInformation(0号功能)返回的结果是一个SYSTEM_BASIC_INFORMATION结构,其中的域bKeNumberProcessors将返回系统CPU的个数。 下面是该函数的具体说明: /×---------------------------------------------------
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值